互联网+时代，越来越多的消费和支付从线下转移至互联网。而春节红包大战，以及Apple Pay的高调入华，更让移动支付日益普及。但随之滋生的，是日益增多的互联网支付安全风险。

2015年7月，中国互联网协会发布的《中国网民权益保护调查报告（2015）》显示，中国互联网用户近一年来因个人信息泄露、诈骗信息等问题，导致总体损失约805亿元。

互联网支付的安全问题已经不容小觑。这背后的黑色渠道和利益链是怎样实现的？互联网支付安全的未来又在哪里？

网络支付的阴云

安全风险始终成为笼罩在互联网支付之上的一层阴云。

从发送钓鱼网站链接到病毒木马植入，互联网用户的银行账户、社交软件账号等核心信息被非法窃取，钱包正在遭遇空前危机。

据《华夏时报》记者了解，钓鱼网站主要是采用模仿正规网站域名、篡改正规网站页面等方式，得到用户提供的银行卡号、密码、账户等信息。

有业内人士对记者表示，其实无论怎样伪装，钓鱼网站的诈骗都有几个常规步骤：诱导用户点击陌生链接，然后跳转至钓鱼网站，得到个人信息、银行卡账号及密码，再通过木马拦截用户手机来自银行的验证码及消费提示进行盗刷。

而随着智能手机的普及，钓鱼网站也逐渐瞄准了移动支付领域。

猎豹安全专家李铁军对记者表示，这几年手机端的钓鱼网站明显增多。“最常见的还是通过伪基站发送短信。在我们见到的直接造成财产损失的案例中，占绝对主流。”

“对方通过伪基站的方式进行短信群发，伪造假银行网站的非常多，基本国内的商业银行都被模仿过。”他对记者说。

而来自腾讯的《2015互联网安全报告》也显示，在钓鱼网站的分布上，除了传统的虚假网购、中奖诈骗外，仿冒手机银行、运营商的钓鱼网站开始呈现爆发式增长。此外，仿冒证券公司的虚假投资网站也在2015年达到高峰。

面对移动支付安全问题频发的情况，李铁军对记者表示，手机的防范难度很高，这个跟手机和电脑系统的差异有关系。电脑杀毒软件的权限很高，但手机不一样。例如苹果就可能不会有任何这方面的提醒。

此外，通过恶意链接、二维码以及伪装APP将木马植入手机，也是一种重要方式。

春节期间的红包大战已经泄露了红包木马的巨大能量。

据记者了解，抢红包神器、红包大盗等木马通过窃取用户社交账号及密码，或者以伪APP等方式做为入口，植入手机木马病毒，留存用户银行卡号、身份证号等敏感信息后，从而对用户的银行卡进行盗刷。

腾讯发布的上述报告显示，目前手机上常见的支付病毒有10种，其中16.81%的支付类病毒会隐藏自己的真实目的，以躲避安全软件的查杀。此外，窃取隐私数据的支付病毒占比则达到14.80%。

黑色地下产业链

在钓鱼网站与病毒木马频发的背后，是网络支付诈骗行业背后的暴利。

此前据猎网平台于2015年11月5日发布的首个《现代网络诈骗产业链分析报告》显示，去年1-9月，共接到全国网民举报网络诈骗案件20086起，涉案金额高达8901万元，人均损失4431元。

而据其初步统计，网络诈骗产业的从业人数至少有160万人，“年产值”超过1100亿元。

据记者了解，猎网平台由北京市公安局网络安全保卫总队与360互联网安全中心联合发起成立，目前是国内第一个网络诈骗全民举报平台。

而在高昂利润的驱使下，网络支付诈骗早已形成了一条完整的黑色地下产业链。

上述业内人士对记者表示，在这套产业链上有负责制作网站的开发者，负责批发零售的“包马人”，还有实施“种马”的拉单人，以及最后的洗白销赃环节。

“这是一个很完整的产业链。行骗的是一批人，做网站的是另一批人，之间都互不了解，也根本不需要见面，全在网上进行交易。”他对记者说。

据记者了解，在这条地下产业链中，涉及支付类的病毒木马售价通常高达数千元甚至上万元。而且通常还带有使用期限，到期需要再度续费。

但高价并不能阻碍“包马人”的热情，因为这其中的利益更为丰厚。

据记者了解，此前被宣判的浮云木马的制作人，在两个月里得到了20万元的收入。而他开发的浮云木马则涉嫌窃取了数百名网银用户的上千万元。

而此前据记者登陆淘宝网发现，有众多抢红包神器出售，价格从几元到几千元不等。而这些抢红包软件往往被植入木马，一旦安装就可以用它来收集用户的隐私信息、盗取账号等。　

李铁军也对记者表示：“这一行业一条龙下来的很少，大部分都是相互拆开。交易的方式也很成熟。”他同时还表示，微信内置的安全功能会对红包木马植入自动进行大规模拦截，因此红包木马不会是主流的欺诈方式。

网络支付的复杂心情

用风声鹤唳、草木皆兵来形容用户对互联网支付的复杂心情，并不为过。

一个典型的例子，是今年1月10日晚上，微信钱包用户大规模解绑银行卡的蝴蝶效应。

当晚微信朋友圈被微信公开课PRO版的“我和微信的故事”刷屏，而有关应用链接会盗取微信号和支付宝号的谣言也随之扩散。

虽然各方随即都进行了辟谣，但“微信之父”张小龙曾在随后的发布会上感慨，“很多，真的是很多，是百万级的用户开始提现、解绑自己的银行卡了，我们这个服务器也几乎挂掉了。”

解绑事件无疑折射出用户对互联网支付风险的警惕。而这种警惕，则是源于层出不穷的互联网安全信息风险中监管的缺失。

事实上，想要做到对互联网支付的完全监管并不容易。

李铁军对记者表示，网络支付诈骗越过了几种监督渠道。“比如伪基站是通过骗子手中自身的设备发送，绕过了运营商的网络，根本无法发现，成本还很低。”

据记者了解，伪基站发送的短信号码可以随便定义。诈骗者将带有恶意链接的短信伪装成银行、电信的常用客服号码发送，具有极大的隐蔽性和欺骗性。

此外，互联网支付诈骗的风险很小。

猎网平台分析显示，网络诈骗地下产业规模之所以迅速扩大，主要是由于网络诈骗犯罪具有异地作案、小额多发、取证困难等特点，打击难度大。

此外，目前针对互联网支付产业链的相关法律还并未到位。而对移动支付过程中的金融风险监管也存在缺位。

而上述业内人士也对记者表示，由于产业链上各条分工严密，异地作案，很难追查到钓鱼网站或者木马背后的利益相关者。

互联网支付的未来

尽管监管难以到位，但随着互联网支付规模，特别是移动支付规模的不断增长，解决支付安全风险迫在眉睫。

在今年的全国两会上，腾讯CEO马化腾提出建议，要重点打击电信网络诈骗等新型犯罪。加大刑事案件打击力度，遏制网络黑客犯罪的蔓延趋势。

此外，他还提出，企业要建设共同治理网络安全的生态体系。

其中，互联网企业应发挥大数据分析、云计算和云存储能力，对用户行为建立模型。而电信运营商则应禁止网络改号电话等非法运营项目，加强对伪基站的打击配合和重点地区的线路排查，清理二手4G卡买卖市场，落实手机卡实名制等等。

事实上，国家相关机构已经从法律和网络上对网络支付的风险作出限定。

在2015年6月底，十二届全国人大常委会第十五次会议已经审议了《网络安全法（草案）》，并于7月初向社会公开征求意见。

而《草案》的重要内容则包括，将我国公民个人信息保护纳入法律正轨。

此外，在去年7月31日，央行在其网站公布了《非银行支付机构网络支付业务管理办法（征求意见稿）》。该《管理办法》传达了明确的监管意见：鼓励支付机构定位于支付通道，限制账户功能，账户功能仅限于小额支付。

但李铁军对记者说：未来互联网支付诈骗依然会很严重，中国是移动支付做得最好的国家，问题是网民的安全意识还很薄弱。

他对记者表示，病毒的技术含量并不高，如果用户提高防范意识，不随意点击短信里的陌生链接，不在钓鱼网站输入个人信息，则不会对用户的财产安全造成损害。　

他同时对记者表示，从技术上来说，也不可能消除支付诈骗。“骗子总是会随着时代的发展而更新骗术，常骗常新。”

事实上，随着微信的广泛应用，微信虚假公众账号诈骗，微信投票、点赞诈骗，微信扫码关注等新兴诈骗方式已经兴起。而互联网支付的安全之路还任重而道远。

本文转自d1net（转载）